"Freunde lassen Freunde kein VPN benutzen" - Technologie aus den Neunzigern ist nicht für das Jahr 2021 geeignet

"Freunde lassen Freunde kein VPN benutzen". Diese Behauptung las ich in einem Blog-Beitrag von Matthew Sullivan (dem ich alle kreativen Lorbeeren zuschreibe) und war sofort von der Reihe überzeugt. In diesem Blogbeitrag werden wir erörtern, warum klassische VPN-Lösungen (Virtual Private Network) für Unternehmen nicht mehr "gut genug" sind, um Remote- und Telearbeit zu ermöglichen. Wenn wir von VPN sprechen, meinen wir ausdrücklich nicht P2P-verwaltete VPN-Verbindungen zur Überbrückung von zwei Standorten oder kommerzielle VPN-Dienste (von denen man annimmt, dass sie ein privateres und sichereres Internet-Browsing ermöglichen).

VPN - Virtual Private Network - geht auf die neunziger Jahre zurück. Im Jahr 1996 "erfand" der Microsoft-Mitarbeiter Gurdeep Singh-Pall das PPTP (Point-to-Point Tunneling Protocol). Es bot eine Methode zur Implementierung virtueller privater Netzwerke und einer sicheren Internetverbindung. Im Jahr 1996 gab es weltweit 36 Millionen Internetnutzer (Quelle). Zwei Drittel davon befanden sich in den USA. Es gab sage und schreibe 100.000 Websites, Netscape war der Browser der Wahl, und mit 33,8 Kbps konnten die Nutzer mit Lichtgeschwindigkeit im Internet surfen. Damals war VPN das geeignete Mittel. Aber die Zeiten haben sich natürlich geändert.

Die typischen Sicherheitsprobleme bei Unternehmens-VPN

- Wenn man einmal drin ist, ist man wirklich "drin".

Laut einer IDC-Analyse gehen mehr als 40% der Sicherheitsverletzungen von autorisierten Benutzern wie Auftragnehmern, Anbietern und Mitarbeitern aus. Dies bedeutet, dass VPNs in der Regel nicht über die erforderlichen detaillierten Kontrollen verfügen, um Benutzern bestimmte Rechte zuzuweisen. Sobald ein Remote-Benutzer von einem VPN authentifiziert wird, gilt dieser Benutzer als vertrauenswürdig und erhält Zugang zu allen Bereichen des Unternehmensnetzwerks. Dies macht das Unternehmensnetz und seine Ressourcen sehr anfällig für Angriffe und Datenlecks.

Die Verwaltung des VPN-Benutzerzugangs ist nicht nur mit Active Directory (AD), sondern auch mit den Gerätezertifikaten verknüpft. Das bedeutet, dass, wenn ein Mitarbeiter das Unternehmen verlässt, sein Gerätezertifikat widerrufen werden muss - wie Sie sich denken können, ist dies etwas, das leider oft vergessen wird.

- Notwendigkeit, immer die letzte Version auszuführen

VPN-Plattformen sind sehr beliebt. Auch für Hacker. Keine Plattform kann von absoluter Sicherheit profitieren, und das gilt sicherlich auch für VPN-Plattformen. Allein im vergangenen Jahr wurden viele der beliebtesten und meistgenutzten VPN-Plattformen im Kern (und nur am Endpunkt) angegriffen. In einigen Fällen dauerte es Wochen, bis die Hersteller einen Sicherheitspatch zur Verfügung stellten, der das Loch stopfen würde. Im Folgenden finden Sie eine kleine Liste der jüngsten Sicherheitslücken pro Plattform:

• • • Palo Alto Network Sicherheitshinweis PAN-SA-2019-0020in Bezug auf CVE-2019-1579;
    • FortiGuard Sicherheitshinweise FG-IR-18-389in Bezug auf CVE-2018-13382; FG-IR-18-388in Bezug auf CVE-2018-13383; FG-IR-18-384in Bezug auf CVE-2018-13379;
    • Pulse Secure Sicherheitshinweis SA44101in Bezug auf CVE-2019-11510, CVE-2019-11508, CVE-2019-11540, CVE-2019-11543, CVE-2019-11541, CVE-2019-11542, CVE-2019-11539, CVE-2019-11538, CVE-2019-11509, CVE-2019-11507.
    • Citrix Sicherheitshinweis CTX267027in Bezug auf CVE-2019-19781.

Die Botschaft ist klar, zumal es leicht zu erkennen ist, welche VPN-Technologie von wem verwendet wird: immer die neueste Version verwenden, immer alle Sicherheits-Patches einspielen, und zwar sofort. Um ehrlich zu sein, sollte dies heutzutage ein Standardverfahren für jede Softwarelösung sein.

- Nur Login/Passwort eingeben

Die Multi-Faktor-Authentifizierung ist das absolute Minimum, das Benutzer benötigen, um sich bei VPN zu authentifizieren. Leider ist sie in vielen Unternehmen immer noch nicht Standard... und das ist so, als würde man die Tür zu seinem Haus weit offen lassen. Viele Benutzerpasswörter wurden bereits gehackt und werden in Datenbanken im Darkweb gesammelt (ehrlich gesagt, sogar ich kann sie finden). Mehr noch, allein durch die Verwendung von "123456" als Passwort haben Hacker bereits eine erstaunliche Chance, ins Haus zu kommen. Der Vollständigkeit halber: Die häufigsten Passwörter laut SplashData im Jahr 2019 waren

• • • 123456
    • 123456789
    • qwerty
    • Passwort
    • 1234567
    • 12345678
    • 12345
    • iloveyou
    • 111111
    • 123123

Und wenn man Benutzer zwingt, mindestens eine Zahl und einen Buchstaben in einem Passwort zu verwenden, ist #11 in der Liste "abc123". Kein Wunder, dass eine Studie von Microsoft herausfand, dass die Verwendung von MFA in 99,9% der Fälle Angriffe zur Übernahme von Konten blockiert. Fazit: Verwenden Sie MFA. Immer. Das ist ein absolutes Minimum.

- Kompromittierte Geräte

Die End-User müssen die VPN-Verbindung über einen VPN-Client auf ihrem Gerät - in der Regel ein Laptop - aktivieren. Sobald die Verbindung zwischen dem Gerät und dem Unternehmensnetzwerk hergestellt ist, sind die Tore nach Walhalla in der Regel geöffnet. Selbst wenn die Authentifizierung mit zusätzlichen Sicherheitsmaßnahmen wie MFA erfolgt. Das bedeutet: Wenn das Gerät, auf dem der VPN-Client läuft, mit Malware infiziert ist, kann das Öffnen einer VPN-Verbindung auch dazu führen, dass die Malware ihren Weg in Ihr Unternehmensnetz findet.

Aus diesem Grund sollten Sie VPN nur auf Geräten aktivieren, die dem Unternehmen gehören und von ihm verwaltet werden. Die IT-Abteilung muss die optimale Kontrolle über das Gerät haben und sicherstellen, dass es mit der neuesten Betriebssystemversion und den neuesten Patches läuft, dass ein aktiver Anti-Malware-Dienst vorhanden ist, usw. Aus genau diesen Gründen ist der Einsatz von VPN auf benutzereigenen Geräten aus Sicherheitssicht ein absolutes No-Go.

Darüber hinaus stellt die Tatsache, dass sich auf dem Gerät des End-Users wahrscheinlich - wahrscheinlich - vertrauliche Daten befinden, an sich schon ein Sicherheitsrisiko dar. Auch für verwaltete Geräte.

Die Flexibilität und UX-Seite von VPN

Die Idee von VPN ist die Erweiterung eines Geräts in einem Heimnetzwerk (zum Beispiel) in das Firmennetzwerk. Im Grunde wird so getan, als ob das Gerät im LAN betrieben würde. Dies hat einige Konsequenzen;

• • • Benutzer können in der Regel die gesamte lokale Software und die Dateien auf dem Gerät selbst nutzen
    • beim Zugriff auf Ressourcen im Unternehmensnetz werden diese vollständig herunter- (oder hoch-)geladen; so wird z. B. bei der Arbeit an einer Datenbankdatei auf einem Sharedrive die Datei ständig herunter- und hochgeladen
    • Durch die Verwendung von Split-Tunneling kann der Datenverkehr (z. B. YouTube und soziale Medien) über den öffentlichen Internetzugang statt über das VPN geleitet werden. Dies birgt jedoch andere Sicherheitsrisiken. Die Alternative ist, den gesamten Datenverkehr über das Unternehmens-VPN zu leiten, was die VPN-Kapazität belasten kann.

Unterm Strich: VPN bietet den Nutzern (wenn sie einen verwalteten Laptop haben) ihre bekannte Büroerfahrung. Aber es geht auf Kosten der Kapazität.

- Von jedem Gerät

Wie Sie herausgefunden haben, ist es aus der Sicherheitsperspektive ratsam, VPN nur auf Geräten zu aktivieren, die Sie vollständig verwalten. Die meisten VPN-Clients für Unternehmen sind jedoch nicht auf allen Geräten und Systemen verfügbar (z. B. MacOS-Geräte, Chromebooks, Raspberry Pi, Android-Tablets, ...). Dies schränkt Ihre Freiheitsgrade und die Ihrer Benutzer erheblich ein.

- Kapazität

Wie oben beschrieben, müssen VPN-Plattformen in der Regel eine große Download- und Upload-Kapazität aufnehmen. Diese Plattformen sind selten so skaliert, dass 100% Benutzer gleichzeitig aus der Ferne arbeiten können. Folglich sind Kapazitäts- und damit verbundene Leistungsprobleme eher häufig als selten.

Bei Awingu gehen wir die Dinge anders an

Awingu ist ein browserbasierter Unified Workspace. Er macht RDP-basierte Anwendungen und Desktops in HTML5 auf jedem Browser verfügbar. Außerdem werden Dateiserver, Intranets, Webanwendungen, SaaS, ... hinter einer einzigen Glasscheibe mit Single-Sign-On zusammengeführt. Werfen Sie einen Blick auf die Awingu Architektur und Merkmale um mehr zu erfahren.

- Awingu hat ein Minimum an Sicherheitsebenen eingebaut

Awingu ermöglicht ein Mindestmaß an IT-Sicherheit für seine Benutzer. Awingu wird in der Regel auf einem RDS (Terminal Server) und RDP-Zugang eingesetzt. Sie können dieses Dokument so interpretieren, dass es einen Überblick über die Sicherheitsstufen gibt, die Awingu zusätzlich zu "einfachem" RDP/RDS ermöglicht.

• • • Multi-Faktor-Authentifizierung: Awingu verfügt über eine integrierte MFA-Lösung und kann (falls erforderlich) problemlos Ihre aktuelle Authentifizierungsmethode integrieren. Durch das Hinzufügen von MFA minimieren Sie das Risiko von "Brute-Force-Angriffen". Die integrierte MFA von Awingu unterstützt die Verwendung von Einmal-Token (HOTP) und zeitbasierten Token (TOTP). Awingu integriert auch DUO Security, Azure MFA, SMS Passcode oder Radius-basierte Dienste.
    • Verschlüsselung über HTTPSZwischen dem Endbenutzer (Browser) und der virtuellen Awingu-Anwendung bevorzugt und ermöglicht Awingu die Verschlüsselung über HTTPS. Awingu erlaubt die Verwendung von eigenen SSL-Zertifikaten (oder SSL-Proxy). Darüber hinaus verfügt Awingu über eine integrierte Integration mit Let's Encrypt, die automatisch ein einzigartiges SSL-Zertifikat generiert und sich um dessen Erneuerung kümmert.
    • Nur Anschluss 443Wenn Awingu richtig eingerichtet ist, muss nur Port 443 für Endbenutzer-Clients verfügbar sein.
    • Umfassende Auditfähigkeit : Awingu verfügt über ein umfangreiches Nutzungsprotokoll. Das Nutzungsprotokoll verfolgt, welche Anwendungssitzungen die Benutzer öffnen (oder schließen) und wann und wo (von welcher IP-Adresse aus) sie das tun. Es verfolgt auch, welche Dateien geöffnet, gelöscht, freigegeben usw. werden. Das Audit-Protokoll ist über das Awingu-Dashboard (Admin) verfügbar und es können benutzerdefinierte Berichte extrahiert werden.
    • Erkennung von Anomalien: Sie werden über Unregelmäßigkeiten in Ihrer Umgebung informiert, z. B. wenn sich jemand zu oft mit einem falschen Passwort anmeldet oder wenn jemand versucht, sich aus dem Ausland anzumelden. Diese Informationen sind über das Awingu-Dashboard verfügbar (nur für Administratoren).
    • HTML iso RDP: Es ist bekannt, dass RDP zahlreiche Schwachstellen aufweist, insbesondere wenn ältere und ungepatchte Versionen eingesetzt werden. HTML minimiert den für RDP spezifischen "Bedrohungsvektor" (z. B. Bluekeep, NotPetya).
    • Granulare Nutzungskontrollen: Spezifische Rechte können für jeden Benutzer (Gruppe) zugewiesen werden; z.B. Verhinderung der Nutzung des virtuellen Druckers (d.h. kein Drucken zu Hause), Verhinderung des Herunterladens (oder Hochladens) von Dateien zum und vom lokalen Desktop, Verhinderung der gemeinsamen Nutzung von Awingu-Anwendungssitzungen, Verhinderung der gemeinsamen Nutzung von Awingu-Dateien, usw.
    • Session Recording: Awingu kann die automatische Aufzeichnung von bestimmten Anwendungen oder Benutzern aktivieren (Hinweis: ausgeschlossen für Awingu Reverse Proxy Sitzungen). Der Endbenutzer wird vor dem Start seiner Awingu-Anwendung/Desktop eine Warnung über die Aufzeichnung erhalten und muss diese akzeptieren.
    • Keine lokalen Daten: Alle Anwendungen, Dateien, gehosteten Desktops usw. werden in HTML5 innerhalb des Browsers ausgeführt. Es gibt keinen Fußabdruck auf dem Gerät (vgl. granulare Nutzungskontrollen) und nur Bildschirm-"Bilder" werden freigegeben.

- Awingu ermöglicht bessere UX

Mit Awingu können die Nutzer jedes beliebige Gerät, auch ihr eigenes privates Gerät, mitnehmen und ihre Arbeit erledigen. Das kann ein Windows-7-Gerät, ein MacBook oder ein Tablet sein. Es ist eine einfache und konsistente Erfahrung.

Über den Autor

Arnaud Marliere

Vorstand für Vertrieb und Marketing

Linkedin Twitter Facebook Youtube Umschlag